发布日期：2026-02-06
更新日期：2026-04-16

受影响系统：

OpenFGA OpenFGA >= v1.8.5 <= v1.11.2

描述：

---

CVE(CAN) ID: CVE-2026-24851

OpenFGA是OpenFGA开源的一款为开发人员构建并受Google Zanzibar启发的高性能和灵活的授权/许可引擎。
OpenFGA v1.8.5至v1.11.2版本存在不合理授权漏洞，该漏洞源于在执行Check请求时，对类型绑定公开访问与非公开访问的策略校验存在缺陷，未能正确处理多个元组之间的优先级和组合逻辑，攻击者可利用该漏洞，通过构造满足特定条件的元组关系使本应被拒绝的访问请求被错误地允许，获取未授权的资源访问权限。

<*链接：https://github.com/openfga/openfga/security/advisories/GHSA-jq9f-gm9w-rwm9
*>

建议：

---

厂商补丁：

OpenFGA
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/openfga/openfga/releases/tag/v1.11.3

浏览次数：59
严重程度：0（网友投票）